발렌타인 데이 그림으로 위장한 Bifrose 변형

2010년 2월 10일, 마이크로소프트(Microsoft)의 멀웨어 프로텍션 센터(Malware Protection Center) 블로그에 발렌타인 데이(Valentine Day)와 관련된 "Cupid Struck"가 게시되었다. 

해당 블로그에 따르면 해외에서 최근 발렌타인 데이 그림으로 위장한 악성코드인 Bifrose 변형이 발견되었다는 내용이다. 이와 관련해 ASEC에서 추가적인 정보를 수집하는 과정에서 해당 악성코드는 2009년 1월 28일 최초 발견된 것으로 확인 되었다. 

이번에 발견된 발렌타인 데이 그림으로 위장한 Bifrose 변형에 대해 ASEC에서는 상세한 분석을 진행 하였다. 

이번에 발견된 악성코드는 RARSfx로 압축이 되어 있으며 실행을 하게 되면 아래 이미지와 같이 실행된 해당 폴더에 이미지 파일들과 함께 숨김 속성을 가진 82.exe(160,213 바이트) 파일이 생성된다.

생성된 이미지 중에는 아래 이미지와 같이 발렌타인 데이와 관련된 이미지도 포함이 되어 있다.

이 외에 아래 이미지와 같은 피아노 이미지외에 장미꽃 이미지들도 같이 포함 되어 있어 감염된 시스템의 사용자에게 이미지 파일들이 압축되어 있는 파일들로 위장하고 있다.

그리고 감염된 사용자 모르게 백그라운드로 숨김 속성으로 생성된 82.exe(160,213 바이트)를 실행시켜 다음 경로에 다른 악성코드를 생성시킨다.

C:\Documents and Settings\Administrator\Local Settings\Temp\server.exe(57,917 바이트)

생성된 server.exe(57,917 바이트)은 윈도우 시스템에 존재하는 정상 파일인 Explorer.exe의 특정 메모리 영역에 자신의 코드를 덮어쓰고 다음의 경로에 자신의 복사본을 생성시킨다.

C:\WINDOWS\system32\Bifrost\server.exe(57,917 바이트)

그리고 윈도우의 특정 레지스트리 키들을 생성하여 감염된 시스템이 자동 실행 될 때 해당 악성코드가 다시 실행 되도록 한다.

자신의 코드를 덮어쓴 정상 프로세스인 Explorer.exe은 인터넷 익스플로러(Internet Explorer)를 백그라운드 실행 시켜 미국 서부에 위치한 특정 시스템으로 접속을 시도하게 된다.

해당 악성코드가 특정 시스템으로 접속을 성공하게 되면 다음의 악의적인 기능들을 수행 할 수 있게 된다.

사용자 키보드 입력 후킹

사용자 마우스 입력 후킹

메신저 사용자 정보 및 암호 후킹

클립보드 정보 후킹

특정 보안 제품 프로세스가 실행 중일 경우 강제 종료

가상 키보드 입력 후킹

원격 제어 기능

발렌타인 데이 시즌을 맞이하여 발렌타인 데이 그림으로 위장한 악성코드는 V3 제품군에서 다음과 같이 진단한다.

 

Dropper/Bifrose.693626

Win-Trojan/Midgare.32256

이번에 발견된 악성코드는 발렌타이 시즌을 맞아 사회적인 관심이 높은 주제를 선정하여 이를 악용한 사례이다. 이러한 사례는 2009년 6월 마이클 잭슨 사망을 악용한 사례과 2009년 12월 연말 연시 사회적 분위기를 악용한 사례 등이 있음으로 이러한 사회적 이슈가 있을 때에는 특별히 악성코드 등의 보안 위협에 많은 주의가 필요하다.